【第5回】トータルなセキュリティ対策の実現化に向けて

　これまで、企業がセキュリティに関して感じている不安、それを解消するために必要な方策について検証してきた。当然ながら、セキュリティの問題は一朝一夕に解決するわけではない。ベンダーが提供する製品を導入したからといってセキュリティが完璧になるわけではないのだ。2008年に施行予定の日本版SOX法も間近に迫り、今以上のセキュリティ対策強化を各企業では求められている。そのためには、単にセキュリティ製品を採用するだけではなく、日々の業務に対していかに有効的に活用できるかが重要となる。

■トータルな視点によるセキュリティ管理

　セキュリティ対策の必要性は、情報漏洩事件の頻発や日本版SOX法の開始といった対外的なニーズの高まりから注目が集まるが、一過性の対策を導入しただけでは、新しい問題が発生した際にフレキシブルな対応が困難である。1つの1つの対策をなぜ導入するのか、どのように業務改善につなげるのか、といったトータルな視点でセキュリティを考えなければいけない時代に突入しているといえるだろう。

　これまで紹介してきたPC CheckとAccess Checkは、トータルにセキュリティを管理する、という視点で開発されたソリューションだ。

　PC Checkでは個々のクライアントPCが抱えるセキュリティ上の問題点を把握し、各企業のセキュリティポリシーに従っているかを診断する。さらに、リムーバブルメディアやネットワークの利用を状況に応じて制限し、持ち出されたファイルの原本を常に保存して情報漏洩に備えるといった対策が、ステージという形で段階的に提供され、各企業の現状に沿って個別に導入できる。

　Access Checkでは、サーバの開発者や運用者のサーバアクセスを監視し、アクセスの可否について、情報システム部門を中心としたIT管理者がコントロールすることで、内部統制で求められる強固なアクセス管理を実現できる。導入が容易であり、サーバにエージェントソフトウェアをインストールする必要なく、ゲートウェイ型として導入されるので、サーバになんらの負荷がかからない。アクセスをコントロールし、詳細なログが記録されるため、この製品を導入することでシステム監査に対しても有利に働いた例があるという。サーバ個々に登録されている既存のID、パスワードを変更することなく、Access Checkで一括アクセス管理ができるため、J-SOXでのIT全般統制の監査対応にも十分対応できる。特に、ITサービス提供者が、SAS70や18号監査報告を取得する際、非常に有効な手段となる。

　この2つの製品をはじめ、NRIセキュアの製品に共通して流れているのが、前述の「トータルでセキュリティを管理する」という視点だ。

　たとえばAccess Checkのアクセス申請・承認機能が挙げられる。サーバへのアクセスの申請を管理し、管理者などがこれをコントロールすることで「誰の承認の下、いつ、どのような理由でサーバにアクセスしたか」ということが常に管理できる。単純にアクセス制御を行うだけでなく、アクセスを管理するという考え方である。これには「パッケージベンダーから出てくる発想ではない」とNRIセキュアは自信を見せる。こうした機能はむしろSIerの発想で、製品を開発するベンダーの立場でありながら、NRIセキュアは企業に必要なセキュリティ対策を、SIerのように全体を見渡しながら開発しているということになる。